KI
Vectra AI erläutert Potential der Analyse von Verhaltensweisen und Nutzungsmustern
Office 365-Bedrohungen und Angriffe auf das Unternehmensnetzwerk
Das Jahr 2020 brachte eine Flutwelle von Herausforderungen für Unternehmen in jedem Sektor – vom Gesundheitswesen über das Gastgewerbe bis hin zur Luftfahrt. Jedes Unternehmen war gezwungen, irgendeinen Aspekt seiner Strategie anzupassen, sei es durch Ausgabenkürzungen, Personalabbau, Neueinstellungen oder Änderung der Betriebsmodelle.
Obwohl die Auswirkungen der COVID-19-Pandemie im Jahr 2020 auf die Technologiebranche im Vergleich zu anderen Sektoren hinterherhinken, gab es dennoch ein erhebliches Maß an Veränderungen. Viele Unternehmen waren gezwungen, digitale Transformationsinitiativen zu implementieren und zu beschleunigen, um sich auf eine schnell einsetzbare Fernbelegschaft einzustellen. Vectra AI erläutert, welche Folgen hier im speziellen für die Sicherheit im Kontext von Office365 zu beobachten waren bzw. zu erwarten sind.
„Unternehmen, die stark in die Entwicklung und Schaffung robuster Sicherheitsarchitekturen vor Ort investiert hatten, mussten ihre Sicherheitsstrategie erheblich umgestalten und aktualisieren, um sich vor Bedrohungen für Assets zu schützen, die außerhalb der Büroräume genutzt werden“, erklärt Andreas Müller, Director DACH bei Vectra AI . „In der Tat ist eine der größten Sicherheitserkenntnisse und -lektionen im Jahr 2020, dass der Schutz des Geräts eines Mitarbeiters, die Interaktion mit dem Internet und der Zugriff auf Unternehmensanwendungen in der Lage sein muss, mit ihm zu reisen, unabhängig davon, wo er sich zu einem bestimmten Zeitpunkt befindet.“
Als direkte Folge der beschleunigten Work-from-Home-Initiativen stieg die Akzeptanz und tägliche Nutzung von Cloud- und SaaS-Anwendungen im Jahr 2020 sprunghaft an, was viele neue Bedrohungen mit sich brachte. Angriffe, die auf SaaS- und Cloud-Benutzerkonten abzielen, gehörten zu den am schnellsten wachsenden und am häufigsten auftretenden Problemen für Unternehmen, noch bevor COVID-19 die enorme und schnelle Verlagerung zur Fernarbeit erzwang.
Mit der zunehmenden Nutzung von Cloud-Software durch Unternehmen dominieren Anwendungen wie Office 365 den Bereich der Produktivität. Die Office 365-Plattform verzeichnete zuletzt mehr als 250 Millionen aktive Benutzer pro Monat und wurde zur Grundlage für die gemeinsame Nutzung, Speicherung und Kommunikation von Unternehmensdaten. Dies machte sie auch zu einer unglaublich reichen Fundgrube für Angreifer.
Es war also keine Überraschung, dass Office 365 im Jahr 2020 in den Fokus von Cyberangreifern geriet und zu einigen massiven finanziellen und Reputationsverlusten führte, trotz der verstärkten Einführung von Multifaktor-Authentifizierung und anderen Sicherheitskontrollen, die Angreifern als Hindernis dienen sollten. Unter den Sicherheitsverletzungen, die Office 365 betrafen, waren Kontoübernahmen die am schnellsten wachsende und am weitesten verbreitete Angriffstechnik.
Angreifer konzentrieren sich mittlerweile eher auf Kontoübernahmen als auf die Kompromittierung von E-Mails, um einen ersten Zugang zu einer Umgebung zu erhalten. Laut einer aktuellen Studie sind laterale Bewegungen die häufigste Kategorie verdächtigen Verhaltens in Office 365-Umgebungen, dicht gefolgt von Versuchen, eine Command-and-Control-Kommunikation aufzubauen. Zwei Office 365-Tools, die sich als wertvoll für Angreifer erwiesen haben, sind Power Automate und eDiscovery Compliance Search.
Microsoft Power Automate, ehemals Microsoft Flow, automatisiert alltägliche Benutzeraufgaben sowohl in Office 365 als auch in Azure und ist standardmäßig in allen Office 365-Tenants aktiviert. Es kann den Zeit- und Arbeitsaufwand für die Erledigung bestimmter Aufgaben für Benutzer reduzieren. Ähnlich wie bei PowerShell neigen jedoch auch Angreifer dazu, Aufgaben automatisieren zu wollen. Mit über 350 verfügbaren Anwendungskonnektoren sind die Möglichkeiten für Cyberangreifer, die Power Automate nutzen, enorm. Office 365 eDiscovery Compliance Search ermöglicht die Suche nach Informationen über alle Office 365-Inhalte mit einem einfachen Befehl. Alle diese Techniken werden jetzt aktiv genutzt, und sie werden häufig zusammen über den gesamten Angriffslebenszyklus hinweg eingesetzt.
Die Zahl der Bedrohungen, die auf Office 365-Benutzer und andere ähnliche Plattformen abzielen, wird im Jahr 2021 zweifelsohne weiter zunehmen. Die Identifizierung von Missbrauch des Benutzerzugriffs wurde traditionell mit präventionsbasierten, richtlinienzentrierten Ansätzen angegangen. Sicherheitsadministratoren verließen sich auf Warnungen, die potenzielle Bedrohungen beim Auftreten identifizierten, wodurch wenig Zeit blieb, um angemessen zu reagieren. Diese herkömmlichen Ansätze werden weiterhin versagen, da sie nur zeigen, dass ein genehmigtes Konto für den Zugriff auf Ressourcen verwendet wird. Sie geben keinen tieferen Einblick, wie oder warum Ressourcen genutzt werden und ob das beobachtete Verhalten für einen Angreifer nützlich sein könnte.
„Im Jahr 2021 müssen sich Sicherheitsteams darauf konzentrieren, Maßnahmen zu implementieren, die einen detaillierteren Überblick darüber geben, wie ihre Benutzer privilegierte Aktionen – bekannt als „observed privilege“, also „beobachtete Berechtigung“ – innerhalb von SaaS-Anwendungen wie Office 365 nutzen“, erläutert Andreas Müller von Vectra AI. „Das bedeutet, zu verstehen, wie Benutzer auf Office 365-Ressourcen zugreifen und von wo aus. Es geht darum, die Nutzungsmuster und Verhaltensweisen zu verstehen, nicht darum, statische Zugriffsrichtlinien zu definieren.“
Es kann nicht hoch genug eingeschätzt werden, wie wichtig es ist, ein wachsames Auge auf den Missbrauch des Benutzerzugriffs auf SaaS-Daten zu haben, wenn man bedenkt, wie häufig Angriffe in der realen Welt vorkommen. SaaS-Plattformen sind ein Paradies für Angreifer, weshalb die Überwachung des Benutzerzugriffs auf Konten und Dienste von größter Bedeutung ist.
Auf welche anderen Sicherheitsaspekte sollten sich Unternehmen im Jahr 2021 vorbereiten? Die Inversion des Unternehmensnetzwerks wird weiterhin vorherrschend sein. Viele Unternehmen weltweit konzentrieren sich darauf, eine dauerhafte hybride oder vollständig dezentrale Arbeitsstruktur einzuführen, um die Produktivität zu steigern, den Aufwand zu reduzieren und den Mitarbeitern mehr Flexibilität zu bieten. Es ist nicht mehr der Fall, dass hochsensible und vertrauliche Daten nur vor Ort aufbewahrt werden, wo einige wenige Ausnahmen in den schützenden Firewall-Richtlinien gemacht werden, um die ausgehende Kommunikation zu ermöglichen.
Im Jahr 2021 wird die De-Perimeterisierung der Unternehmensnetzwerke endgültig als Norm akzeptiert, was seit Jahren erwartet wurde und sich nun beschleunigt hat. Einer der führenden Indikatoren dafür ist, dass Unternehmen Active Directory (eine herkömmliche On-Premises-Architektur) über Bord werfen und alle ihre Identitäten auf Azure AD (eine moderne Cloud-fähige Technologie) verlagern.
Eines der besten Dinge, die ein Unternehmen tun kann, um sich auf die Sicherheitsherausforderungen im Jahr 2021 vorzubereiten, ist die Investition in Network Detection and Response (NDR) und die Bereitstellung des Benutzerzugangs über eine Zero Trust-Architektur. Unternehmen sollten darüber nachdenken, wo sich ihre wichtigsten Daten befinden – höchstwahrscheinlich in der Cloud und in SaaS-Anwendungen. Sie sollten ermitteln, wie effizient ihr Sicherheitsteam Angreifer an all diesen Orten aufspüren kann, bevor sie erheblichen Schaden anrichten.
